Où en êtes-vous avec le RGPD ? Ou comment vous mettre en conformité avec le RGPD en 6 points ?

Le règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, entré en vigueur le 25 mai 2018, a dévoilé et attiré l’attention de tous sur l’importance et la marchandisation des données collectées et traitées par les professionnels quel que soit leur secteur d’activité.

Il a modifié en profondeur la loi du 6 janvier 1978 [i] dite informatique et liberté, réaffirmé les droits des personnes et redessiné les obligations des collecteurs.

« La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental ». (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 considérant 1)

Après une période d’adaptation et d’œuvre pédagogique, les sanctions sont désormais plus largement appliquées et le nombre de plaintes est en hausse.

Avez-vous pris le temps de recenser, évaluer, protéger les données à caractère personnel que vous collectez et d’informer les personnes concernées sur les traitements mis en œuvre et leurs droits ?

Si vous vous êtes passé au travers de ce phénomène juridique, je vous rappelle que depuis plus de 18 mois tout traitement de données à caractère personnel – quel que soit l’ampleur du traitement ou la taille de votre entreprise – est soumis à la nouvelle législation dès lors qu’il est réalisé dans le cadre d’une activité s’exerçant sur le territoire de l’Union européenne ou qu’il concerne des données appartenant à une personne résidant sur ledit territoire.

Le nouveau régime ne repose plus sur un système d’autorisation (et le cas échéant de dispense d’autorisation) mais sur un principe de responsabilité du responsable du traitement qui doit être en mesure de démontrer, à première demande, qu’il respecte la législation.

Pour respecter la législation, le responsable de traitement doit tenir un registre des données à caractère personnel qu’il utilise et informer les personnes concernées de la collecte de leurs données, de la finalité et de la durée de cette collecte et de leurs droits.

Il doit recueillir le consentement des personnes concernées.

Où en êtes-vous ?

Vous ne vous êtes pas encore penché sur vos obligations, je vous détaille pas à pas les démarches que vous pouvez mettre en œuvre dès maintenant :

1-      Identifiez le responsable de traitement au sein de votre entreprise, les gestionnaires et les différents fichiers gérés :

•     Qui est le responsable de traitement :

Le responsable du traitement est la personne qui détermine les finalités et les moyens du traitement. Généralement, il s’agit du dirigeant de l’entreprise collecteur.

•     Attention, il doit recenser toutes les personnes qui collectent, utilisent, traitent des données dans et pour son entreprise :

Des salariés de votre entreprise peuvent créer des fichiers pour les besoins propres de leur activité / service (par exemple : le personnel d’un service de ressources humaines gère les fichiers des employés et des candidats ; le service commercial : le fichier des clients et prospects, les services comptables : les fichiers salariés, fournisseurs, clients).

N’oubliez pas que vos sous-traitants exploitent aussi les données que vous leur transmettez et établir leur propre système de traitement (par exemple : votre comptable s’il établit les paies disposent de données concernant vos salariés)…

Il est donc nécessaire d’identifier les responsables des services opérationnels, les sous-traitants et de recenser l’intégralité des fichiers qu’ils ont créés, qu’ils gèrent et qu’ils utilisent.

•     Avez-vous besoin de désigner un DPO (délégué à la protection des données) ?

Sa désignation n’est obligatoire que :

-         lorsque le responsable de traitement appartient au secteur public,

-         si votre activité principale vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle,

-         si vos activités principales vous amènent à traiter, toujours à grande échelle, des données dites sensibles ou relatives à des condamnations pénales et infractions.

En dehors de ces hypothèses la désignation d’un délégué à la protection des données personnelles est facultative.

2-     Recensez les données collectées, leur finalité, les lieux de stockage…

•     Quelles données sont collectées ?

-         Identifiez les catégories de données traitées

RH : attention à la vidéo surveillance, vidéo protection et aux badges, logiciels de gestion de temps etc….

-         Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple : les données relatives à la santé ou les infractions).

Je vous rappelle que la collecte, et par voie de conséquence, le traitement de données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

•     Pourquoi chaque donnée est collectée ?

Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la relation commerciale, gestion RH…).

A ce stade impliquez vos services, ils doivent être en mesure de justifier la nécessité de chaque donnée qu’ils collectent. A défaut de nécessité du traitement de telle ou telle donnée, il faut mettre fin à sa collecte et donc détruire de vos fichiers les données inutiles.

•     Où sont stockées les données ?

Déterminez le lieu où les données sont hébergées : vos propres serveurs, les serveurs de vos sous-traitants, vos armoires (la loi s’appliquent aux fichiers informatiques comme aux fichiers papiers)

Indiquez vers quels pays les données sont éventuellement transférées.

•     Jusqu’à quand ?

Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.

Vous devez être en mesure de justifier la durée de traitement de la donnée qui doit être limitée à la durée nécessaire au regard des finalités pour lesquelles la donnée est traitée. Il serait, par exemple, difficile de justifier la conservation pendant une dizaine d’années des données qui sont transmises par les candidats à un poste dans votre entreprise.

•     Comment ?

Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées ?

3-     Déterminez leur régime d’autorisation :

consentement

ou

- traitement nécessaire à l’exécution d’un contrat

- traitement nécessaire au respect d’une obligation légale 

- traitement nécessaire à la sauvegarde d’intérêts vitaux

- traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’autorité publique

- traitement nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement

4-     Assurez-vous de la légalité du traitement :

-         Vérifiez que seules les données nécessaires à la finalité du traitement sont collectées et traitées – le cas échéant, faire le tri,

-         Vérifiez vos documents juridiques et contractuels, y compris ceux des sous-traitants,

-         Vérifiez le niveau de sécurité des données, y compris chez les sous-traitants,

5-     Prévoyez les modalités d’exercice des droits de la personne concernée :

-         Droit d’accès de copie/ d’information

-         Droit de rectification et à l’effacement

-         Droit à la limitation du traitement

-         Droit à la portabilité des données

-         Droit d’opposition

-         Droit de ne pas faire l’objet d’une décision fondée exclusivement sur le traitement automatisé produisant des effets juridique ou affectant la personne concernée de manière significative

6-     Standardisez les processus internes : adoptez des mesures techniques et organisationnelles appropriées :

-         Prenez en compte les contraintes de protection des données personnelles dès la conception du traitement,

-         Veillez à limiter la quantité de données traitées :

Seules les données strictement nécessaires à la poursuite des objectifs du traitement sont collectées et traitées.

-         Mettez en place des dispositifs de sécurité et de confidentialité:

Les dispositifs de sécurité seront appréciés en fonction de l’état des connaissances, le coût de mise en œuvre, la nature et la portée, le contexte et la finalité du traitement, les risques pour les droits de la personne concernée, les probabilités ou le degré de gravité.

Corolaire: obligation de notifier à l’autorité de contrôle toute violation de données à caractère personnel dans les meilleurs délais, si possible dans les 72 heures.

Quand risque élevé: communication à la personne concernée de la violation.

-         Assurez le respect des droits de la personne concernée

-         Le cas échéant, s’assurer que le.s sous-traitant.s présente.nt des garanties suffisantes,

-         Évaluez les risques d’un traitement et le cas échéant mettez en place des procédures requises comme les études d’impact sur la vie privée,

-         Sollicitez l’autorisation de la CNIL pour les traitements de données sensibles/ traitements reposant sur « l’évaluation systématique et approfondie d’aspects personnels des personnes physiques », exemple : profilage.

Ces informations figureront dans le registre des activités de traitement que chaque entreprise à l’obligation de tenir, sous peine de sanctions qui peuvent être particulièrement dissuasives.

La CNIL dispose, en effet, du pouvoir de prononcer des amendes administratives qui, selon les dispositions du Règlement européen, doivent être « effectives, proportionnées et dissuasives » et qui peuvent atteindre jusqu’à 20.000.000 €, ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent.

Les amendes administratives ne font pas obstacle à l’éventuelle action en justice que la personne dont les droits auraient été violés peut décider de mettre en œuvre pour réclamer la réparation de son préjudice.

Plus de 18 mois après l’entrée en vigueur de la nouvelle législation, il appartient à chacun de s’approprier les nouvelles normes et de mettre en place ses bonnes pratiques.

La CNIL a créé de nombreuses fiches informatives, et thématiques regroupant ses recommandations et points de vigilances à ne pas négliger. Elle a même mis en ligne son propre fichier modèle à valeur pédagogique que vous pouvez consulter pour vous familiariser avec ses attentes.

[i] Pour consulter la loi : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460